RSA SecurID身份认证
RSA双因素身份认证系统
简介
目录
1. RSA SECURID双因素身份认证系统简介 (3)
1.1.RSA提供完整的解决方案 (3)
1.2.RSA S ECUR ID:强大的双因素认证系统 (3)
1.3.RSA S ECUR ID双因素认证系统组件 (4)
1.3.1.认证管理软件(Authentication Manager) (4)
1.3.2.RSA SecurID双因素认证设备 (4)
1.3.3.代理软件(AM/Agent) (5)
2. 时间同步双因素技术及令牌原理简介 (5)
2.1基于时间同步技术双因素身份认证架构图 (5)
2.1.1RSA SecurID时间同步原理架构图 (5)
2.1.3基于时间同步的双因素口令 (6)
2.2RSA700型双因素令牌简介 (6)
3. RSA强认证系统可以保护资源简介 (6)
3.1对端口安全和无线网络的保护 (7)
3.2RSA S ECUR ID可以提供对拨号/访问服务器的双因素身份认证 (7)
3.3RSA S ECUR ID可以提供对路由器、交换机和防火墙等网络设备的双因素身份认证 (7)
3.4RSA S ECUR ID可以提供对各种VPN的双因素身份认证 (7)
3.5RSA S ECUR ID可以对UNIX、L INUX及W INDOWS等操作系统保护 (8)
3.6RSA S ECUR ID可以提供对不同的W EB服务器的保护 (8)
3.7RSA S ECUR ID对O RACLE数据库的保护 (8)
3.8RSA S ECUR ID可以提供对若干应用的保护 (9)
3.9RSA通过提供免费的API,从而提供对各种应用的保护 (9)
4. RSA双因素身份认证系统中认证服务器的部分特性 (9)
4.1容错与负载均衡 (9)
4.2安装平台 (9)
4.3客户管理及与LDAP的同步 (10)
4.4日志、审计与报表 (10)
4.5对微软服务器及桌面的保护 (10)
5. 产品配置及配套第三方产品配置 (11)
5.1RSA产品配置举例 (11)
5.2配套的第三方产品配置举例 (11)
6. RSA双因素身份认证设备简介 (11)
1. RSA SecurID双因素身份认证系统简介
1.1. RSA提供完整的解决方案
在网络信息安全的五个功能中(身份认证、授权、保密性、完整性和不可否认),身份认证(Authentication)是最基本最重要的环节,即使将授权、保密性、完整性、不可否认等环节做得很完善,但如果盗用了合法的帐号和口令登录系统,系统仍然认为他是合法用户,给予他相应的访问权限,使系统处于危险状态。
RSA提供了完整的身份认证解决方案,特别是RSA SecurID双因素身份认证解决方案,已成为该领域的事实标准,该解决方案以易于实现、成熟、可靠等特点在信息安全领域赢得广泛信赖。
1.2. RSA SecurID:强大的双因素认证系统
简单来说,双因素身份认证就是通过你所知道再加上你所能拥有的这二个要素组合到一起才能发挥作用的身份认证系统。例如,在ATM上取款的银行卡就是一个双因素认证机制的例子,需要知道取款密码和银行卡这二个要素结合才能使用。
RSA SecurID是一个强大的身份认证系统。其使用情况为,管理员向授权的用户发放单独的认证设备(可以类比为银行卡,我们通常称之为令牌),此认证设备根据时间变化,每分钟都会生成一个唯一的不可预测的令牌码。用户在初次使用这个认证设备的时候,需要设定他自己的个人码(我们称之为PIN码,可以类比为银行卡的取款密码)。在使用的时候,用户个人码再与令牌码组合,就形成双因素认证代码(我们称之为passcode以区别静态口令的password);RSA的时间同步身份认证技术将确保在相同的时间令牌和认证服务器产生相同的令牌码,这样,只有持有令牌的合法用户才可以访问其可以访问的资源。
在常用的网络安全技术中,身份认证技术是其它安全技术的基础,通过与其它技术结合,能提供更安全、更适合应用的解决方案。
据IDC的权威统计,RSA在全球身份认证市场获得70%以上的市场份额,成为身份认证的事实标准。同时,RSA SecurID获得全球370多种以上产品支持,可以很好保护用户投资。
1.3. RSA SecurID双因素认证系统组件
RSA SeucrID由认证服务器RSA Authentication Manager(简称AM)、代理软件RSA Authentication/Agent、认证设备以及认证应用编程接口(API)组成(如下图所示)。
1.3.1. 认证管理软件(Authentication Manager)
RSA Authentication Manager(认证管理)软件是一个将性能卓越的认证引擎和集中管理功能结合在一起的认证管理系统。以认证为例,当认证服务器(安装认证管理软件的服务器)收到一个认证请求时,它使用与用户认证设备(令牌)相同的算法和种子值来验证正确的令牌码。如果用户输入的是正确的令牌码则认证通过,该用户可以访问他有权访问的资源。
1.3.
2. RSA SecurID双因素认证设备
我们所说的认证设备通常指的就是双因素认证令牌。令牌的种类有很多,以RSA 700型硬件令牌为例,该令牌里面已经内置了芯片和电池,芯片里已经固化了RSA的算法,这种算法是与时间因素相关联的,每个令牌有一个唯一的128位种子文件。种子文件结合特定的时间同步算法,每60秒会产生一个动态的令牌码。每个令牌发放给不同的使用者,并要求该使用者在初次使用这个令牌的时候设定一个PIN码。以后,每次这个令牌的使用者在使用令牌访问其所要访问的资源的时候,需要同时输入PIN码再加上令牌的组合,这就是我们所说的passcode,也即双因素口令。
认证服务器在接到认证代理软件的认证请求后,只需要比对该令牌用户输入的令牌码与认证服务器产生的该令牌的令牌码是否一致即可判断是否合法用户。
可见,RSA强认证系统就是依赖相同时间+相同算法+相同种子文件所产生的相同运算结果(令牌码)这样简单却极为有效的方式来实现身份认证的。因此,令牌与认证服务器之
间不需要任何通信联系,其核心就在于RSA的时间同步专利技术。
1.3.3. 代理软件(AM/Agent)
认证代理软件在终端用户和需要受到保护的网络资源中间发挥作用。当一个用户想要访问某个资源的时候,RSA认证代理软件将请求发送到RSA认证管理服务器进行认证。
RSA Authentication/Agent是一种设备专用代理软件,已经内置在大多数主流的网络设备和浏览器以及Web服务器软件系统中,允许安全管理员通过鼠标点击,而不是编写代码,为用户和保护的资源选择和应用相应的设置。
2. 时间同步双因素技术及令牌原理简介
2.1基于时间同步技术双因素身份认证架构图
2.1.1RSA SecurID时间同步原理架构图
使用RSA信息安全公司基于专利技术的时间同步双因素身份认证系统,可以确保有权限的人访问与其权限相符的资源。
以上图为例,左边的令牌就是一个RSA700型令牌,里面已经固化了芯片(算法、种子文件)和电池,这种算法是与时间相关联的,确保每分钟产生一个唯一的值;后台的认证服务器与这块令牌采用相同的算法和种子文件。我们知道时间是标准的(例如都取格林威治时间),所以,在相同的时刻,令牌和认证服务器各自单独运算的结果也是相同的,RSA的双
因素身份认证就是依赖这个简单的原理来做强认证的。
2.1.3基于时间同步的双因素口令
在使用RSA信息安全公司SecurID解决方案后,一个完整的口令我们称之为passcode,它是由用户自己设定的4到8位的PIN码和动态的令牌码构成。
2.2RSA 700型双因素令牌简介
RSA双因素软、硬件令牌种类很多,下面仅对700型硬件做一简介:
该令牌的大小状如一把普通的钥匙(约5.8厘米长、2到3厘米宽、厚度接近1厘米)。该令牌已经内置了128位种子文件,并已做了初始化以方便客户直接使用。每个令牌有一个唯一的序列号,用于标识每一块令牌。每个令牌对应的唯一的128位种子文件会在定购令牌的时候存储在一张种子光盘中,以便将种子文件导入到认证服务器中。700型硬件令牌有6位和8位数字显示的二种令牌,其价格是一样的。
3. RSA强认证系统可以保护资源简介
可以毫不夸张的说,凡是有静态口令保护的资源,都可以使用RSA的强认证系统进行保护。RSA强认证系统可以保护资源的情况简介如下。
3.1对端口安全和无线网络的保护
RSA SecurID可以提供对基于802.1X的端口安全保护并提供对基于802.11b协议的无线网络的双因素身份任认证。
当用户通过无线网卡需要访问公司网络的时候启动双因素用户身份认证,只有通过的认证的合法用户才能访问公司网络。
3.2RSA SecurID可以提供对拨号/访问服务器的双因素身份认证
目前为止,微软的拨号服务器、思科、3COM和华为等这些主流的拨号服务器均可以支持SECURID认证。
3.3RSA SecurID可以提供对路由器、交换机和防火墙等网络设备的双因素身份认证
在整个网络系统中,有许多的路由器和和交换机,管理员经常需要登录到这些网络设备上进行维护工作。但是如果仅使用口令认证用户身份,非法人员只有获得管理员的口令就可以进入这些网络设备随意修改,代理很大的不安全因素。
现在只需要配置这些网络设备通过已经内置的RSA Agent或RADIUS协议来使用SECURID 即可实现双因素认证,当用户需要TELNET到这些网络设备时,必须输入用户名和双因素Passcode,然后由这些网络设备通过Agent或RADIUS协议将Passcode发送到认证服务器进行认证,如果是合法用户则可以访问网络资源,否则就会被拒绝在外。
3.4RSA SecurID可以提供对各种VPN的双因素身份认证
市场上主流的VPN厂商已经集成了RSA代理软件在VPN设备中,管理员只需要在图形界面上非常简单地配置RSA认证服务器信息就可以实现SECURID功能。而客户端只需要安装VPN客户端程序,不需要安装额外的软件来支持SecurID认证。当用户需要通过防火墙或者VPN网关接入企业内部网络时,只需要在原来输入用户名/口令的地方输入RSA 认证服务器上的用户名和双因素Passcode,然后由这些网络设备内置地代理软件或者标准的RADIUS协议将Passcode发送到认证服务器进行认证,如果是合法用户则可以访问网络资源,否则就会被拒绝在外。
3.5RSA SecurID可以对UNIX、Linux及Windows等操作系统保护
目前为止,RSA支持各种UNIX操作系统,其中IBM AIX,HP-UNIX和SUN Solaris 以及RedHat Linux上的代理软件都是免费提供的。同时,RSA为某些特定的操作系统提供定制的代理软件,由于需要额外的开发、支持和维护工作,所以这部分的代理软件需要收取一定的费用,包括DEC Alpha上运行的DEC Unix和SCO Unix等。
安装了RSA Authentication/Agent for UNIX/Linux以后,配置相应用户的确省的Shell外壳程序,改为RSA的sdshell。这样,当用户通过远程Telnet或本地登录到UNIX/Linux主机时,主机首先提示用户输入正确的用户名和口令,当用户正确输入以后,UNIX/Linux主机根据用户名定位其记录,确认其是否需要双因素强认证,如果是,则提示用户输入正确的PASSCODE,只有用户输入了正确的PIN和令牌码以后,才能进入到主机系统,否则就会被拒绝在外。
3.6RSA SecurID可以提供对不同的Web服务器的保护
RSA Authentication/Agent可以保护不同的Web服务器:
?RSA Authentication/Agent for Windows NT/2000保护IIS虚拟服务器、目录和文件;Outlook Web Access;Microsoft Proxy Server
?RSA Authentication/Agent for Apache Web Server提供运行在不同操作系统上的Apache 模块来保护这些Web服务器上的URL、网页和目录。
?RSA Authentication/Agent for Lotus Domino保护Lotus数据库(地址簿、日历和电子邮件等),URL目录和存放在Domino Web服务器上的文件。
?RSA Authentication/Agent for Netscape/iPlanet Web Server保护在Windows NT或者UNIX 平台上的根,目录或者文件。
RSA Authentication/Agent for Web具有以下优点:
?不需在用户桌面安装软件
?保证通过SSL传输的信息的保密性
?管理用户认证和访问控制
?灵活的安全设置,保护网站资源时不需要编程
?实现在多个站点之间的单点登录,只需登录即可访问不同站点的资源。
3.7RSA SecurID对Oracle数据库的保护
Oracle是全球领先的信息管理软件的供应商,由其提供的Advanced Security Option (ASO)软件保护SQL*Net和Net 8环境下的敏感的以及有价值的信息。当用户试图访问Oracle数据库时,Advanced Security Option软件加密并且执行安全检查。RSA AM/Server技术使用预先发给每个用户的RSA SecurID令牌认证用户的身份。使用Oracle的Advanced Security Option和RSA SecurID令牌,所有基于Oracle数据库的网络应用程序均可以得到由RSA SecurID令牌提供的强认证。
3.8RSA SecurID可以提供对若干应用的保护
以Oracle的应用为例,针对Oracle Application和Oracle Portal,RSA专门提供了AM/Agent插件程序,植入Oracle Application和Oracle Portal中,帮助企业使用双因素令牌认证用户身份,同时替换原有的用户名和口令认证,用户只需要一次认证就可以直接登录应用中,完全排除了需要记忆静态口令的麻烦,实现紧密集成。而用户的访问权限的控制还是由Oracle ERP自己完成,所以相同的用户信息必须同时保存在RSA认证服务器和Oracle ERP中,并且同一个用户的用户名必须一样。
3.9RSA通过提供免费的API,从而提供对各种应用的保护
RSA Authentication/Agent认证应用开发包能够让开发员集成RSA SecurID到客户或者第三方应用程序中。由认证应用开发包连接生成的代理软件能够与域中多个RSA Authentication/Server通讯,配合内置负载平衡的函数,代理软件可以选择最佳的认证服务器进行通讯。负载平衡可以自动实现也可以手工修改配置,数据由代理软件在运行时动态分配,代理软件程序员无需关心底层操作即可实现负载平衡或者容错能力。
RSA可以免费提供在各种环境下的C函数库和Java函数库。
4. RSA双因素身份认证系统中认证服务器的部分特性
4.1容错与负载均衡
由于会在关键的应用中使用双因素认证,如果万一RSA认证服务器死机,所有的用户均无法访问这些资源,给用户的使用带来很大不便,所以RSA建议为了减少停机的可能,至少应该安装两台RSA认证服务器,一台为主服务器,另一台为备份服务器,这样任何一台服务器的死机不会影响整个认证过程。同时RSA AGENT代理软件会自动侦测二台(或多台)认证服务器的响应速度,然后自动把更多的认证请求发送到响应速度较快的认证服务器上进行处理。这样,就在容错的同时实现自动负载均衡。
4.2安装平台
RSA Authentication Manager可以运行于Solaris、AIX、HP-UX和Windows操作系统平台上。一个RSA Authentication Manager可以提供百万级用户数的容量。RSA Authentication Manager有两种许可证:基本许可证(Base License)和高级许可证(Advanced License)。基本许可证允许用户安装一台主服务器(Primary Server)和一台从服务器(Replica Server);而高级许可证允许部署最多6个服务器域(Realm),每个域由一台主服务器和最多十台从服务器组成,这种架构不仅确保了有效性,同时可以适合大型的全球网络拓扑结构。
4.3客户管理及与LDAP的同步
许多企业采用目录服务器来集中管理用户的帐号,这种集中式的管理给管理员带来极大的方便。而在认证服务器中也必须维护一套用户帐号,管理员需要在Authentication Manager 中为用户分配令牌,控制用户访问不同的网络资源。对于管理员来说需要同时维护两套用户帐号会增加管理上的负担,这就需要用到Authentication Manager中自带的强大的目录服务器同步功能。此功能允许管理员在目录服务中维护完整的用户帐号,同时在RSA中维护所有的令牌资料,管理员可以通过事先定义好的目录服务器与与Authentication Manager的映射关系,自动添加目录服务器中的所有的或者一部分用户帐号到Authentication Manager中。以后所有的用户信息的添加、删除和修改都在目录服务器上完成,RSA Authentication Manager会自动将这些信息复制到自己的数据库中,无须管理员手工介入,管理员只需要在RSA Authentication Manager中为用户分配令牌并控制其访问权限即可。
RSA Authentication Manager支持三种目录服务:Microsoft Active Directory、iPlanet Directory Server 和Novell NDS eDirectory。在配置目录服务器自动同步功能时,需要指定目录服务器的IP地址和端口号,同步的起始时间和同步时间间隔并且最好使用SSL加密整个连接。有可能在目录服务器中存放大量的用户数,并不是所有用户都需要自动同步到RSA Authentication Manager中,可以在目录服务器中建立特定的OU,将相关用户放置于此特定的OU中,然后设定RSA Authentication Manager仅同步此特定的OU,减少了同步用户数量。
4.4日志、审计与报表
对于用户的每一次认证企图和通过管理程序做的任何动作,都会在RSA Authentication Manager的日志中产生相应的一条记录,管理员可以运行大量的报告来查账审计。
RSA Authentication Manager除了提供图形化界面让管理员手工定义和生成报表以外,还提供命令行的报表生成工具,允许管理员以批处理的方式创建基于sdlog日志数据库的审计报告和基于sdserv用户数据库的令牌统计报告。
管理员可以使用RSA Authentication Manager报表生成工具内置的标准报告格式,也可以根据自己的需要创建客户化的报表内容,例如列出特定消息的所有日志、令牌的失效日期以及用户的最后一次登录时间等信息。
除了详细的报表功能以外,管理员还可以将特定的日志信息发送到Event Log或者syslog中,配合第三方的日志管理工具实时采集认证信息,以最快的速度响应系统问题。
4.5对微软服务器及桌面的保护
长期以来,微软一直是RSA的策略合作伙伴,凡购买RSA强认证系统的客户都可以免费获得各种对微软有关产品进行保护的代理程序。基于微软Windows?软件的RSA SecurID?是一项在允许用户登陆到微软Windows环境之前就能证明其身份的认证解决方案。有了基于微软Windows软件的RSA SecurID解决方案,无论用户是上网连接到公司的网络,还是在离线状态下登陆桌面系统,作为微软系统的使用者,他们的身份都能鉴别。这项安全的解决方案为用户登陆Windows环境提供简单而一致的方法,全部的登陆认证过程全都可以核查,公司从此无需再要求使用者变换密码。
5. 产品配置及配套第三方产品配置
5.1RSA产品配置举例
5.2配套的第三方产品配置举例
说明:本配置是假设将认证服务器安装在Windows平台的情况,如果客户希望将认证服务器安装在UNIX系统上,则系统的要求如下:
对于Solaris操作系统推荐Ultra SPARC II双处理器,300MHz
对于HP-UX操作系统推荐HP J2240双处理器PA-8200,236MHz
对于AIX操作系统推荐RS/6000双处理器,233MHz
512MB物理内存
两倍物理内存的交换文件
6. RSA双因素身份认证设备简介
RSA双因素身份认证设备是软、硬件一体化解决方案,该产品极大的方便了用户对RSA 双因素身份认证产品的购买、安装和使用。购买了RSA双因素身份认证设备就没有必要再单独采购服务器和操作系统了,因此,RSA双因素身份认证设备是一个捆绑了RSA认证管理软件和硬件及操作系统的一体化产品。
如上图,RSA双因素身份认证设备是按照工业标准生产的,可以直接安装到19英寸机架或机柜中的设备。其横向宽度为19U(刚好安装到19英寸机架或机柜中);高度为1U;其纵向深度约为5U(U是一种表示服务器、网络、布线等设备外部尺寸的单位,是unit的缩略语,详细尺寸由作为业界团体的美国电子工业协会(EIA)决定,1U等于4.445cm)。
该认证设备前面板有4个RJ45的网络插槽、液晶面板等、背面有AC电源插口等。因此,从外观看起来非常象一个我们常见的1U高度的路由器、集线器或交换机,该设备功率为250W。与硬件服务器一样,可以使用二台认证设备进行容错和负载均衡。
RSA双因素身份认证设备由于是专门用于双因素身份认证的设备,因此,该设备已经过严格测试和检验。客户使用该设备可以根据使用需要进行方便的升级(只需要对软件
License进行升级即可)。
统一身份认证权限管理系统
统一身份认证权限管理系统 使用说明
目录 第1章统一身份认证权限管理系统 (3) 1.1 软件开发现状分析 (3) 1.2 功能定位、建设目标 (3) 1.3 系统优点 (4) 1.4 系统架构大局观 (4) 1.5物理结构图 (5) 1.6逻辑结构图 (5) 1.7 系统运行环境配置 (6) 第2章登录后台管理系统 (10) 2.1 请用"登录"不要"登陆" (10) 2.2 系统登录 (10) 第3章用户(账户)管理 (11) 3.1 申请用户(账户) (12) 3.2 用户(账户)审核 (14) 3.3 用户(账户)管理 (16) 3.4 分布式管理 (18) 第4章组织机构(部门)管理 (25) 4.1 大型业务系统 (26) 4.2 中小型业务系统 (27) 4.3 微型的业务系统 (28) 4.4 内外部组织机构 (29) 第5章角色(用户组)管理 (30) 第6章职员(员工)管理 (34) 6.1 职员(员工)管理 (34) 6.2 职员(员工)的排序顺序 (34) 6.3 职员(员工)与用户(账户)的关系 (35) 6.4 职员(员工)导出数据 (36) 6.5 职员(员工)离职处理 (37) 第7章内部通讯录 (39) 7.1 我的联系方式 (39) 7.2 内部通讯录 (40) 第8章即时通讯 (41) 8.1 发送消息 (41) 8.2 即时通讯 (43) 第9章数据字典(选项)管理 (1) 9.1 数据字典(选项)管理 (1) 9.2 数据字典(选项)明细管理 (3) 第10章系统日志管理 (4) 10.1 用户(账户)访问情况 (5) 10.2 按用户(账户)查询 (5) 10.3 按模块(菜单)查询 (6) 10.4 按日期查询 (7) 第11章模块(菜单)管理 (1) 第12章操作权限项管理 (1) 第13章用户权限管理 (4) 第14章序号(流水号)管理 (5) 第15章系统异常情况记录 (7) 第16章修改密码 (1) 第17章重新登录 (1) 第18章退出系统 (3)
统一认证系统_设计方案
基础支撑平台
第一章统一身份认证平台 一、概述 建设方案单点登录系统采用基于Liberty规范的单点登录ID-SSO系统平台实现,为数字化校园平台用户提供安全的一站式登录认证服务。为平台用户以下主要功能: 为平台用户提供“一点认证,全网通行”和“一点退出,整体退出”的安全一站式登录方便快捷的服务,同时不影响平台用户正常业务系统使用。用户一次性身份认证之后,就可以享受所有授权范围内的服务,包括无缝的身份联盟、自动跨域、跨系统访问、整体退出等。 提供多种以及多级别的认证方式,包括支持用户名/密码认证、数字证书认证、动态口令认证等等,并且通过系统标准的可扩展认证接口(如支持JAAS),可以方便灵活地扩展以支持第三方认证,包括有登录界面的第三方认证,和无登录界面的第三方认证。 系统遵循自由联盟规范的Liberty Alliance Web-Based Authentication 标准和OASIS SAML规则,系统优点在于让高校不用淘汰现有的系统,无须进行用户信息数据大集中,便能够与其无缝集成,实现单点登录从而建立一个联盟化的网络,并且具有与未来的系统的高兼容性和互操作性,为信息化平台用户带来更加方便、稳定、安全与灵活的网络环境。 单点登录场景如下图所示:
一次登录认证、自由访问授权范围内的服务 单点登录的应用,减轻了用户记住各种账号和密码的负担。通过单点登录,用户可以跨域访问各种授权的资源,为用户提供更有效的、更友好的服务;一次性认证减少了用户认证信息网络传输的频率,降低了被盗的可能性,提高了系统的整体安全性。 同时,基于联盟化单点登录系统具有标准化、开放性、良好的扩展性等优点,部署方便快捷。 二、系统技术规范 单点登录平台是基于国际联盟Liberty规范(简称“LA”)的联盟化单点登录统一认证平台。 Liberty规范是国际170多家政府结构、IT公司、大学组成的国际联盟组织针对Web 单点登录的问题提供了一套公开的、统一的身份联盟框架,为客户释放了使用专用系统、不兼容而且不向后兼容的协议的包袱。通过使用统一而又公开的 Liberty 规范,客户不再需要为部署多种专用系统和支持多种协议的集成复杂度和高成本而伤脑筋。 Liberty规范的联盟化单点登录SSO(Single Sign On)系统有以下特点: (1). 可以将现有的多种Web应用系统联盟起来,同时保障系统的独立性,提供单点 登录服务;
身份认证和访问控制实现原理
身份认证和访问控制实现原理 身份认证和访问控制的实现原理将根据系统的架构而有所不同。对于B/S架构,将采用利用Web服务器对SSL(Secure Socket Layer,安全套接字协议)技术的支持,可以实现系统的身份认证和访问控制安全需求。而对于C/S架构,将采用签名及签名验证的方式,来实现系统的身份认证和访问控制需求。以下将分别进行介绍: 基于SSL的身份认证和访问控制 目前,SSL技术已被大部份的Web Server及Browser广泛支持和使用。采用SSL技术,在用户使用浏览器访问Web服务器时,会在客户端和服务器之间建立安全的SSL通道。在SSL会话产生时:首先,服务器会传送它的服务器证书,客户端会自动的分析服务器证书,来验证服务器的身份。其次,服务器会要求用户出示客户端证书(即用户证书),服务器完成客户端证书的验证,来对用户进行身份认证。对客户端证书的验证包括验证客户端证书是否由服务器信任的证书颁发机构颁发、客户端证书是否在有效期内、客户端证书是否有效(即是否被窜改等)和客户端证书是否被吊销等。验证通过后,服务器会解析客户端证书,获取用户信息,并根据用户信息查询访问控制列表来决定是否授权访问。所有的过程都会在几秒钟内自动完成,对用户是透明的。 如下图所示,除了系统中已有的客户端浏览器、Web服务器外,要实现基于SSL的身份认证和访问控制安全原理,还需要增加下列模块: 基于SSL的身份认证和访问控制原理图 1.Web服务器证书 要利用SSL技术,在Web服务器上必需安装一个Web服务器证书,用来表明服务器的身份,并对Web服务器的安全性进行设置,使能SSL功能。服务器证书由CA 认证中心颁发,在服务器证书内表示了服务器的域名等证明服务器身份的信息、Web 服务器端的公钥以及CA对证书相关域内容的数字签名。服务器证书都有一个有效 期,Web服务器需要使能SSL功能的前提是必须拥有服务器证书,利用服务器证书 来协商、建立安全SSL安全通道。 这样,在用户使用浏览器访问Web服务器,发出SSL握手时,Web服务器将配置的服务器证书返回给客户端,通过验证服务器证书来验证他所访问的网站是否真
信息系统用户身份认证与权限管理办法
乌拉特中旗人民医院 信息系统用户身份认证与权限管理办法 建立信息安全体系的目的就是要保证存储在计算机及网络系统中的数据只能够被有权操作的人访问,所有未被授权的人无法访问到这些数据。 身份认证技术是在计算机网络中确认操作者身份的过程而产生的解决方法。权限控制是信息系统设计中的重要环节,是系统安全运行的有力保证。身份认证与权限控制两者之间在实际应用中既有联系,又有具体的区别。为规范我院身份认证和权限控制特制定本措施: 一、身份认证 1、授权:医生、护理人员、其他信息系统人员账号的新增、变更、停止,需由本人填写《信息系统授权表》,医务科或护理部等部门审批并注明权限范围后,交由信息科工作人员进行账户新建与授权操作。信息科将《信息系统授权表》归档、保存。 2、身份认证:我院身份认证采用用户名、密码形式。用户设置密码要求大小写字母混写并不定期更换密码,防止密码丢失于盗用。 二、权限控制 1、信息系统权限控制:医生、护理人员、其他人员信息系统权限,由本人填写《信息系统授权表》,医务科或护理部等部门审批并注明使用权限及其范围之后,交由信息科进行权限审核,审核通过后方可进行授权操作。 2、数据库权限控制:数据库操作为数据权限及信息安全的重中之重,
因此数据库的使用要严格控制在十分小的范围之内,信息科要严格保密数据库密码,并控制数据库权限,不允许对数据库任何数据进行添加、修改、删除操作。信息科职员查询数据库操作时需经信息科主任同意后,方可进行查询操作。 三、医疗数据安全 1、病人数据使用控制。在进行了身份认证与权限管理之后,我院可接触到病人信息、数据的范围被严格控制到了医生和护士,通过权限管理医生和护士只可对病人数据进行相应的计费等操作,保障了患者信息及数据的安全。 2、病人隐私保护。为病人保守医疗秘密,实行保护性医疗,不泄露病人的隐私。医务人员既是病人隐私权的义务实施者,同时也是病人隐私的保护者。严格执行《执业医师法》第22条规定:医师在执业活动中要关心、爱护、尊重患者,保护患者隐私;《护士管理办法》第24条规定:护士在执业中得悉就医者的隐私,不得泄露。 3、各信息系统使用人员要注意保密自己的用户口令及密码,不得泄露个他人。长时间离开计算机应及时关闭信息系统软件,防止泄密。 乌拉特中旗人民医院信息科
网络统一身份认证计费管理系统建设方案综合
XXXX学院网络统一身份认证计费管理系 统建设方案 2016年03月 目录 一.计费系统设计规划 (2) 二.方案建设目标 (2) 三.总体方案 (3) 1.方案设计 (3) A.方案(串连网关方式) (3) B.方案(旁路方式+BRAS,BRAS产品) (4) 四.认证计费管理系统与统一用户管理系统的融合 (8) 4.1统一用户管理系统的融合 (8) 4.2一卡通系统的融合 (9) 4.3用户门户系统的融合 (9) 五.认证计费管理系统功能介绍 (9) 六.用户案例 (14) 6.1清华大学案例介绍 (14) 6.2成功案例-部分高校 (16) 6.3系统稳定运行用户证明 (16) 七.实施方案 (16)
7.1实施前准备工作 (16) 7.2认证计费系统安装 (16) 7.3实施割接前测试工作 (16) 7.4实施中割接、割接后测试工作 (17) 一.计费系统设计规划 XXXX技术学院整体用户规模设计容量为10000用户,同时在线用户规模为5000人,具有多个出口线路;网络特点呈现高带宽,高用户,多种接入方式使用人群,并且在未来还会以多种网络架构存在(有线,无线)。因此安全认证管理计费系统的设计要充分考虑系统性能满足出口带宽容量,同时也必须能满足复杂的接入模式,多种灵活的控制计费策略。 在充分满足IPv4用户的认证计费需求的前提下,设计要考虑对实现IPv6+IPv4双栈认证计费及日志采集等功能需求,同时还需要满足无线和有线认证的融合统一认证管理模式;目前学校已经使用一卡通系统,安全认证计费管理系统必须和一卡通系统实现对接,能支持未来的数字化校园,能够融合到统一身份认证平台。 有线网和无线网是实现账户统一,避免一个用户需要多账户登录有线网和无线网的情况,并可通过上网账户认证实现与校园门户系统、校园一卡通系统的平滑对接,实现用户账号的同步关联。 二.方案建设目标 针对目前学校对于用户认证计费系统的需求,通过安全认证网络管理计费系统,搭建一套包括用户接入、认证、计费及用户管理的综合平台,为校园网提供功能完善、可靠和高性能适合的宽带接入管理计费解
网络身份认证技术的应用及其发展
网络身份认证技术的应用及其发展 随着全球化经济模式的出现以及科学技术的高速发展,网络技术应用越来越广泛。随着网民数量越来越多,网络越来越普及,出现网络安全问题也随之增多,怎样保证网民个人信息安全和保证网络数据的机密性、完整性等,是我们必须要重点解决的问题。而网络技术的不断发展进步,也让网络安全受到更多的关注,在安全系统中重点技术就是使用身份认证技术。本文主要分析了几种身份认证的技术和方式,目的在于让广大读者了解网络安全系统中的身份认证技术应用及其发展。 如今全球信息化的速度越来越快,全球的信息产业越来越重视信息安全,特别是现在信息网络化正是发达的时期,信息产业的发展离不开网络安全,如何在网络环境中建立起一个完善的安全系统,身份认证技术就成为了在网络安全中首先要解决的问题。 身份认证技术就是通过计算机网络来确定使用者的身份,重点是为了解决网络双方的身份信息是否真实的问题,使通讯双方在进行各种信息交流可以在一个安全的环境中。在信息安全里,身份认证技术在整个安全系统中是重点,也是信息安全系统首要“看门人”。因此,基本的安全服务就是身份认证,另外的安全服务也都需要建立在身份认证的基础上,使身份认证系统具有了十分重要的地位,但也最容易受到攻击。
一、身份认证的含义 身份认证技术简单意义上来讲就是对通讯双方进行真实身份鉴别,也是对网络信息资源安全进行保护的第一个防火墙,目的就是验证辨识网络信息使用用户的身份是否具有真实性和合法性,然后给予授权才能访问系统资源,不能通过识别用户就会阻止其访问。由此可知,身份认证在安全管理中是个重点,同时也是最基础的安全服务。 (一)身份认证技术的应用 信息安全中身份认证是最重要的一门技术,也是在网络安全里的第一道防线,可以很好的识别出访问的用户是否具有访问的权限,允许通过识别的用户进行访问操作,并进行一定的监督,防止出现不正当的操作情况,同时也是保护计算机不受病毒和黑客入侵的一个重要方法。使用者在进入网络安全系统的时候,先需要让身份认证系统识别出自己的身份,通过了身份认证系统识别以后,再依据使用者的权限、身份级别来决定可以访问哪些系统资源和可以进行哪些系统操作权限。与此同时,进入安全系统时,检测系统需要进行登记,包括记录、报警等,对用户的行为和请求进行记录,并识别出是否入侵了安全系统。 (二)基于网络的身份认证 身份认证系统在安全系统中非常重要,虽然它是最基础的安全服务,但是另外的安全服务都需要它才能完成,只要身份认证系统受到攻击入侵,就会导致系统里的安全措施都无法产生作用,而黑客入侵的首要目标一般都是先攻破身份认证系统。但是因为网络连接具有复
PKI-身份认证和访问控制的实现原理
身份认证和访问控制的实现原理 身份认证和访问控制的实现原理将根据系统的架构而有所不同。对于B/S架构,将采用利用Web 服务器对SSL(Secure Socket Layer,安全套接字协议)技术的支持,可以实现系统的身份认证和访问控制安全需求。而对于C/S架构,将采用签名及签名验证的方式,来实现系统的身份认证和访问控制需求。以下将分别进行介绍: 基于SSL的身份认证和访问控制 目前,SSL技术已被大部份的Web Server及Browser广泛支持和使用。采用SSL技术,在用户使用浏览器访问Web服务器时,会在客户端和服务器之间建立安全的SSL通道。在SSL会话产生时:首先,服务器会传送它的服务器证书,客户端会自动的分析服务器证书,来验证服务器的身份。其次,服务器会要求用户出示客户端证书(即用户证书),服务器完成客户端证书的验证,来对用户进行身份认证。对客户端证书的验证包括验证客户端证书是否由服务器信任的证书颁发机构颁发、客户端证书是否在有效期内、客户端证书是否有效(即是否被窜改等)和客户端证书是否被吊销等。验证通过后,服务器会解析客户端证书,获取用户信息,并根据用户信息查询访问控制列表来决定是否授权访问。所有的过程都会在几秒钟内自动完成,对用户是透明的。 如下图所示,除了系统中已有的客户端浏览器、Web服务器外,要实现基于SSL的身份认证和访问控制安全原理,还需要增加下列模块: 基于SSL的身份认证和访问控制原理图 1.Web服务器证书 要利用SSL技术,在Web服务器上必需安装一个Web服务器证书,用来表明服务器的身份,并对Web服务器的安全性进行设置,使能SSL功能。服务器证书由CA认证中心颁 发,在服务器证书内表示了服务器的域名等证明服务器身份的信息、Web服务器端的公钥以及CA对证书相关域内容的数字签名。服务器证书都有一个有效期,Web服务器需要使能SSL功能的前提是必须拥有服务器证书,利用服务器证书来协商、建立安全SSL安全通道。 这样,在用户使用浏览器访问Web服务器,发出SSL握手时,Web服务器将配置的服务器证书返回给客户端,通过验证服务器证书来验证他所访问的网站是否真实可靠。 2.客户端证书 客户端证书由CA系统颁发给系统用户,在用户证书内标识了用户的身份信息、用户的公钥以及CA对证书相关域内容的数字签名,用户证书都有一个有效期。在建立SSL通 道过程中,可以对服务器的SSL功能配置成必须要求用户证书,服务器验证用户证书来验证用户的真实身份。 3.证书解析模块 证书解析模块以动态库的方式提供给各种Web服务器,它可以解析证书中包含的信息,用于提取证书中的用户信息,根据获得的用户信息,查询访问控制列表(ACL),获取用 户的访问权限,实现系统的访问控制。 4.访问控制列表(ACL)
身份认证、接入控制解决方案
身份认证、接入控制解决方案 金盾身份认证、接入控制解决方案以身份识别,杜绝非法入侵和接入保护为 主要设计理念,金盾准入控制保护系统是金盾软件公司独创的,国际领先的 产品功能,是产品的核心功能之一,具有实施简单,主动发现、自动防御、效果显著等特点,极大提升了内网的防御能力和用户的体验效果。 方案简介 □如何防止非授权终端的接入内部局域网窃取涉密资料? □如何防止“黑户”电脑和“问题“笔记本擅自进入内部网络成为传播病毒的源头? □ 如何防止假冒身份的非法计算机带入内网肆意访问内部办公系统?
方案功能 安全状态评估 □终端补丁检测:评估客户端的补丁安装是否合格,包括:操作系统(Windows 98/me/2000/XP/2003/Vista/win7/2008 )。 □客户端版本检测:检测安全客户端的版本,防止使用不具备安全检测能力的客户端接入网络,同时支持客户端自动升级。 □终端运行状态实时检测:可以对上线用户终端的系统信息进行实时检测,发现异常客户端或被卸载时自动阻断网络,强制安装。 □终端防病毒联动:主要包含两个方面,终端用户接入网络时,检查其计算机上防病毒软件的安装运行情况以及病毒库和扫描引擎版本是否符合安全要求等,不符合安全要求可以根据策略阻止用户接入网络或将其访问限制在隔离区。 □端点用户接入网络后,定期检查防病毒软件的运行状态,如果发现不符合安全要求可以根据策略强制让用户下线或将其访问限制在隔离区。 安全接入审核 □强身份认证:非授权用户接入网络需要身份认证,在用户身份认证时,可绑定用户接入IP、MAC、接入设备IP、端口等信息,进行强身份认证,防止帐号盗用、限定帐号所使用的终端,确保接入用户的身份安全。 □网络隔离区:对于安全状态评估不合格的用户,可以限制其访问权限,被隔离到金盾网络隔离区,待危险终端到达安全级别后方可入网。 □软件安装和运行检测:检测终端软件的安装和运行状态。可以限制接入网络的用户必须安装、运行或禁止安装、运行其中某些软件。对于不符合安全策略的用户可以记录日志、提醒或隔离。 □终端授信认证:对于外来计算机由于业务需要接入内网或者访问Internet时,针对对方IP、MAC等端口做授信暂时放行。 □内网安全域:可以限制用户只能在允许的时间和网络IP段内(接入设备和端口)使用网络。
身份认证与访问控制技术
第5章身份认证与访问控制技术 教学目标 ●理解身份认证的概念及常用认证方式方法 ●了解数字签名的概念、功能、原理和过程 ●掌握访问控制的概念、原理、类型、机制和策略 ●理解安全审计的概念、类型、跟踪与实施 ●了解访问列表与Telnet访问控制实验 5.1 身份认证技术概述 5.1.1 身份认证的概念 身份认证基本方法有三种:用户物件认证;有关信息确认或体貌特征识别。 1. 身份认证的概念 认证(Authentication)是指对主客体身份进行确认的过程。 身份认证(Identity Authentication)是指网络用户在进入系统或访问受限系统资源时,系统对用户身份的鉴别过程。 2. 认证技术的类型 认证技术是用户身份认证与鉴别的重要手段,也是计算机系统安全中的一项重要内容。从鉴别对象上,分为消息认证和用户身份认证两种。 (1)消息认证:用于保证信息的完整性和不可否认性。 (2)身份认证:鉴别用户身份。包括识别和验证两部分。识别是鉴别访问者的身份,验证是对访问者身份的合法性进行确认。 从认证关系上,身份认证也可分为用户与主机间的认证和主机之间的认证, 5.1.2 常用的身份认证方式 1. 静态密码方式 静态密码方式是指以用户名及密码认证的方式,是最简单最常用的身份认证方法。 2. 动态口令认证 动态口令是应用最广的一种身份识别方式,基于动态口令认证的方式主要有动态
短信密码和动态口令牌(卡)两种方式,口令一次一密。图5-1动态口令牌 3. USB Key认证 采用软硬件相结合、一次一密的强双因素(两种认证方法) 认证模式。其身份认证系统主要有两种认证模式:基于冲击/响应 模式和基于PKI体系的认证模式。常用的网银USB Key如图5-2 所示。图5-2 网银USB Key 4. 生物识别技术 生物识别技术是指通过可测量的生物信息和行为等特征进行身份认证的一种技术。认证系统测量的生物特征一般是用户唯一生理特征或行为方式。生物特征分为身体特征和行为特征两类。 5. CA认证 国际认证机构通称为CA,是对数字证书的申请者发放、管理、取消的机构。用于检查证书持有者身份的合法性,并签发证书,以防证书被伪造或篡改。发放、管理和认证是一个复杂的过程,即CA认证过程,如表5-1所示。 表5-1 证书的类型与作用 注:数字证书标准有:X.509证书、简单PKI证书、PGP证书和属性证书。 CA主要职能是管理和维护所签发的证书,并提供各种证书服务,包括证书的签发、更新、回收、归档等。CA系统的主要功能是管理其辖域内的用户证书。 CA的主要职能体现在3个方面: (1)管理和维护客户的证书和证书作废表 (CRL)。 (2)维护整个认证过程的安全。 (3)提供安全审计的依据。 5.1.3 身份认证系统概述 1. 身份认证系统的构成
RSA加密解密的设计与实现
RSA加密解密的设计与实现
上海电力学院 《应用密码学》课程设计 题目: RSA加密解密的设计与实现 院系:计算机科学与技术学院 专业年级:级 学生姓名:李正熹学号: 3273 指导教师:田秀霞 1月 8日 目录
目录 1.设计要求 2.开发环境与工具 3.设计原理(算法工作原理) 4.系统功能描述与软件模块划分 5.设计核心代码 6.参考文献 7. 设计结果及验证 8. 软件使用说明 9. 设计体会 附录 1.设计要求
1 随机搜索大素数,随机生成公钥和私钥 2 用公钥对任意长度的明文加密 3 用私钥对密文解密 4 界面简洁、交互操作性强 2.开发环境与工具 Windows XP操作系统 Microsoft Visual C++ 6.0 1.创立rsa工程
2.在rsa工程中创立 3273 李正熹cpp文件 3.设计原理 RSA算法简介 公开密码算法与其它密码学完全不同,它是基于数学函数而不是基于替换或置换。与使用一个密钥的对称算法不同,公开密钥算法是非对称的,而且它使用的是两个密钥,包括用于加密的公钥和用于解密的私钥。公开密钥算法有RSA、Elgamal等。 RSA公钥密码算法是由美国麻省理工学院(MIT)的Rivest,Shamir和Adleman在1978年提出来的,并以她们的名字的有字母命名的。RSA是第一个安全、实用的公钥密码算法,已经成为公钥密码的国际标准,是当前应用广泛的公钥密码体制。
RSA的基础是数论的Euler定理,其安全性基于二大整数因子分解问题的困难性,公私钥是一对大素数的函数。而且该算法已经经受住了多年深入的密码分析,虽然密码分析者既不能证明也不能否定RSA的安全性,但这不恰恰说明该算法有其一定的可信度。 4.系统功能描述与软件模块划分 功能:
sso_统一身份认证及访问控制解决方案
统一身份认证及访问控制 技术方案
1.方案概述 1.1. 项目背景 随着信息化的迅猛发展,政府、企业、机构等不断增加基于Internet/Intranet 的业务系统,如各类网上申报系统,网上审批系统,OA 系统等。系统的业务性质,一般都要求实现用户管理、身份认证、授权等必不可少的安全措施;而新系统的涌现,在与已有系统的集成或融合上,特别是针对相同的用户群,会带来以下的问题: 1)如果每个系统都开发各自的身份认证系统将造成资源的浪费,消耗开发成本,并延缓开发进度; 2)多个身份认证系统会增加整个系统的管理工作成本; 3)用户需要记忆多个帐户和口令,使用极为不便,同时由于用户口令遗忘而导致的支持费用不断上涨; 4)无法实现统一认证和授权,多个身份认证系统使安全策略必须逐个在不同的系统内进行设置,因而造成修改策略的进度可能跟不上策略的变化; 5)无法统一分析用户的应用行为;因此,对于有多个业务系统应用需求的政府、企业或机构等,需要配置一套统一的身份认证系统,以实现集中统一的身份认证,并减少整个系统的成本。 单点登录系统的目的就是为这样的应用系统提供集中统一的身份认证,实现“一点登录、多点漫游、即插即用、应用无关"的目标,方便用户使用。 1.2. 系统概述 针对上述状况,企业单位希望为用户提供统一的信息资源认证访问入口,建立统一的、基于角色的和个性化的信息访问、集成平台的单点登录平台系统。该系统具备如下特点: ?单点登录:用户只需登录一次,即可通过单点登录系统(SSO)访问后台的多个应用系统,无需重新登录后台的各个应用系统。后台应用系统的用户名和口令可以各不相同,并且实现单点登录时,后台应用系统无需任何修改。 ?即插即用:通过简单的配置,无须用户修改任何现有B/S、C/S应用系统,即可使用。解决了当前其他SSO解决方案实施困难的难题。 ?多样的身份认证机制:同时支持基于PKI/CA数字证书和用户名/口令身份认证方式,可单独使用也可组合使用。 ?基于角色访问控制:根据用户的角色和URL实现访问控制功能。 ?基于Web界面管理:系统所有管理功能都通过Web方式实现。网络管理人员和系统管理员可以通过浏览器在任何地方进行远程访问管理。此外,可以使用HTTPS安全地进行管理。
信息安全-身份认证技术与应用
信息安全技术及应用 ————————身份认证技术与应用 当今,信息安全越来越受到人们的重视。建立信息安全体系的目的就是要保证存储在计算机及网络系统中的数据只能够被有权操作 的人访问,所有未被授权的人无法访问到这些数据。这里说的是对“人”的权限的控制,即对操作者物理身份的权限控制。不论安全性要求多高的数据,它存在就必然要有相对应的授权人可以访问它,否则,保存一个任何人都无权访问的数据有什么意义?然而,如果没有有效的身份认证手段,这个有权访问者的身份就很容易被伪造,那么,不论投入再大的资金,建立再坚固安全防范体系都形同虚设。就好像我们建造了一座非常结实的保险库,安装了非常坚固的大门,却没有安装门锁一样。所以身份认证是整个信息安全体系的基础,是信息安全的第一道关隘。 1.身份认证技术简介 相信大家都还记得一个经典的漫画,一条狗在计算机面前一边打字,一边对另一条狗说:“在互联网上,没有人知道你是一个人还是一条狗!”这个漫画说明了在互联网上很难识别身份。 身份认证是指计算机及网络系统确认操作者身份的过程。计算机系统和计算机网络是一个虚拟的数字世界,在这个数字世界中,一切
信息包括用户的身份信息都是用一组特定的数据来表示的,计算机只能识别用户的数字身份,所有对用户的授权也是针对用户数字身份的授权。而我们生活的现实世界是一个真实的物理世界,每个人都拥有独一无二的物理身份。如何保证以数字身份进行操作的操作者就是这个数字身份合法拥有者,也就是说保证操作者的物理身份与数字身份相对应,就成为一个很重要的问题。身份认证技术的诞生就是为了解决这个问题。 如何通过技术手段保证用户的物理身份与数字身份相对应呢?在真实世界中,验证一个人的身份主要通过三种方式判定,一是根据你所知道的信息来证明你的身份(你知道什么),假设某些信息只有某个人知道,比如暗号等,通过询问这个信息就可以确认这个人的身份;二是根据你所拥有的东西来证明你的身份(你有什么) ,假设某一个东西只有某个人有,比如印章等,通过出示这个东西也可以确认这个人的身份;三是直接根据你独一无二的身体特征来证明你的身份(你是谁),比如指纹、面貌等。 所谓“没有不透风的墙”,你所知道的信息有可能被泄露或者还有其他人知道,杨子荣就是掌握了“天王盖地虎,宝塔镇河妖”的接头暗号成功的伪造了自己的身份。而仅凭借一个人拥有的物品判断也是不可靠的,这个物品有可能丢失,也有可能被人盗取,从而伪造这个人的身份。只有人的身体特征才是独一无二,不可伪造的,然而这需要我们对这个特征具有可靠的识别能力。
统一身份认证平台讲解-共38页知识分享
统一身份认证平台讲解-共38页
统一身份认证平台设计方案 1)系统总体设计 为了加强对业务系统和办公室系统的安全控管,提高信息化安全管理水平,我们设计了基于PKI/CA技术为基础架构的统一身份认证服务平台。 1.1.设计思想 为实现构建针对人员帐户管理层面和应用层面的、全面完善的安全管控需要,我们将按照如下设计思想为设计并实施统一身份认证服务平台解决方案: 内部建设基于PKI/CA技术为基础架构的统一身份认证服务平台,通过集中证书管理、集中账户管理、集中授权管理、集中认证管理和集中审计管理等应用模块实现所提出的员工帐户统一、系统资源整合、应用数据共享和全面集中管控的核心目标。 提供现有统一门户系统,通过集成单点登录模块和调用统一身份认证平台服务,实现针对不同的用户登录,可以展示不同的内容。可以根据用户的关注点不同来为用户提供定制桌面的功能。 建立统一身份认证服务平台,通过使用唯一身份标识的数字证书即可登录所有应用系统,具有良好的扩展性和可集成性。
提供基于LDAP目录服务的统一账户管理平台,通过LDAP中主、从账户的映射关系,进行应用系统级的访问控制和用户生命周期维护管理功能。 用户证书保存在USB KEY中,保证证书和私钥的安全,并满足移动办公的安全需求。 1.2.平台介绍 以PKI/CA技术为核心,结合国内外先进的产品架构设计,实现集中的用户管理、证书管理、认证管理、授权管理和审计等功能,为多业务系统提供用户身份、系统资源、权限策略、审计日志等统一、安全、有效的配置和服务。 如图所示,统一信任管理平台各组件之间是松耦合关系,相互支撑又相互独立,具体功能如下:
RSA加密算法加密与解密过程解析
RSA加密算法加密与解密过程解析 1.加密算法概述 加密算法根据内容是否可以还原分为可逆加密和非可逆加密。 可逆加密根据其加密解密是否使用的同一个密钥而可以分为对称加密和非对称加密。 所谓对称加密即是指在加密和解密时使用的是同一个密钥:举个简单的例子,对一个字符串C做简单的加密处理,对于每个字符都和A做异或,形成密文S。 解密的时候再用密文S和密钥A做异或,还原为原来的字符串C。这种加密方式有一个很大的缺点就是不安全,因为一旦加密用的密钥泄露了之后,就可以用这个密钥破解其他所有的密文。 非对称加密在加密和解密过程中使用不同的密钥,即公钥和私钥。公钥用于加密,所有人都可见,私钥用于解密,只有解密者持有。就算在一次加密过程中原文和密文发生泄漏,破解者在知道原文、密文和公钥的情况下无法推理出私钥,很大程度上保证了数据的安全性。 此处,我们介绍一种非常具有代表性的非对称加密算法,RSA加密算法。RSA 算法是1977年发明的,全称是RSA Public Key System,这个Public Key 就是指的公共密钥。 2.密钥的计算获取过程 密钥的计算过程为:首先选择两个质数p和q,令n=p*q。 令k=?(n)=(p?1)(q?1),原理见4的分析 选择任意整数d,保证其与k互质 取整数e,使得[de]k=[1]k。也就是说de=kt+1,t为某一整数。
3.RSA加密算法的使用过程 同样以一个字符串来进行举例,例如要对字符串the art of programming 进行加密,RSA算法会提供两个公钥e和n,其值为两个正整数,解密方持有一个私钥d,然后开始加密解密过程过程。 1. 首先根据一定的规整将字符串转换为正整数z,例如对应为0到36,转化后形成了一个整数序列。 2. 对于每个字符对应的正整数映射值z,计算其加密值M=(N^e)%n. 其中N^e表示N的e次方。 3. 解密方收到密文后开始解密,计算解密后的值为(M^d)%n,可在此得到正整数z。 4. 根据开始设定的公共转化规则,即可将z转化为对应的字符,获得明文。 4.RSA加密算法原理解析 下面分析其内在的数学原理,说到RSA加密算法就不得不说到欧拉定理。 欧拉定理(Euler’s theorem)是欧拉在证明费马小定理的过程中,发现的一个适用性更广的定理。 首先定义一个函数,叫做欧拉Phi函数,即?(n),其中,n是一个正整数。?(n)=总数(从1到n?1,与n互质整数) 比如5,那么1,2,3,4,都与5互质。与5互质的数有4个。?(5)=4再比如6,与1,5互质,与2,3,4并不互质。因此,?(6)=2
身份认证技术的发展与展望
身份认证技术的发展与展望 Internet迅猛发展带来了信息共享与安全这对矛盾共同体,加强网络安全建设、保障网络的安全运行成为网络存在的根本之道。网络身份认证技术发展到今天已经成为信息管理系统中必不可少的一部分,扮演着网络系统“看门人”的角色。 针对不同的安全威胁,目前存在多种主机安全技术和相关安全产品,如防病毒技术、个人防火墙、安全应用程序(如文件加密程序)、安全操作系统等。这些技术和产品在一定程度上满足人们的安全需求,却没有很好地解决以下两个问题: (1)系统访问,即开机时的保护问题,目前普遍采用的是基于口令的弱身份认证技术,很容易被攻破而造成泄密; (2)运行时保护,即在合法用户进入系统后因某种原因暂时离开计算机,此时任何人员均可在此系统之上进行操作,从而造成泄密。
将密码写在记事本上挂在电脑旁边,这样的事情相信很多公司的员工都曾经为之。出于安全的要求,现在公司的安全策略普遍要求员工的登陆密码要定期更换,而且不能重复,这使得想出一个自己能记住的长串密码成为一件让员工头疼的事情。为了便于记忆,员工往往会选择常用词或者号码作为密码,如果攻击者使用“字典攻击法”或者穷举尝试法来破译,很容易被穷举出来。传统的账号加密码的形式,账号基本上都是公开的,密码容易被猜中,容易忘记,也容易被盗。据统计,一个人平均下来要记15到20个密码。静态密码的隐患显而易见,尤其是在证券、银行等行业,轰动一时的“银广夏盗卖案”早就为业界敲响了警钟。 为了解决静态密码的安全问题,一种方式是同一个人员使用不同的密码进入不同的应用系统,避免所有的鸡蛋都在一个篮子里面的问题,然而需要记忆多个密码;第二种方式,采用软件VPN方式,登陆前先要使用VPN连接,这样可以面向一部分机器开放,但是第一次使用时下载VPN软件,每次访问
统一身份认证、统一系统授权、统一系统审计、统一消息平台、统一内容管理方案设计
基础支撑层 统一身份认证(SSO) 统一身份认证解决用户在不同的应用之间需要多次登录的问题。目前主要有两种方法,一种是建立在PKI,Kerbose和用户名/口令存储的基础上;一种是建立在cookie的基础上。统一身份认证平台主要包括三大部分:统一口令认证服务器、网络应用口令认证模块(包括Web 口令认证、主机口令认证模块、各应用系统口令认证模块等) 和用户信息数据库,具体方案如下图。 1、采用认证代理,加载到原有系统上,屏蔽或者绕过原有系统的认证。 2、认证代理对用户的认证在公共数据平台的认证服务器上进行,认证代理可以在认证服务器上取得用户的登录信息、权限信息等。 3、同时提供一个频道链接,用户登录后也可以直接访问系统,不需要二次认证。 4、对于认证代理无法提供的数据信息,可以通过访问Web Service接口来获得权限和数据信息。 单点登录认证的流程如下图所示:
单点登录只解决用户登录和用户能否有进入某个应用的权限问题,而在每个业务系统的权限则由各自的业务系统进行控制,也就是二次鉴权的思想,这种方式减少了系统的复杂性。统一身份认证系统架构如下图所示。 统一系统授权 统一系统授权支撑平台环境中,应用系统、子系统或模块统通过注册方式向统一系统授权支撑平台进行注册,将各应用系统的授权部分或全部地委托给支撑平台,从而实现统一权限管理,以及权限信息的共享,其注册原理如下图。
用户对各应用系统的访问权限存放在统一的权限信息库中。用户在访问应用系统的时候,应用系统通过统一授权系统的接口去查询、验证该用户是否有权使用该功能,根据统一系统授权支撑平台返回的结果进行相应的处理,其原理如下图。 统一系统授权支撑平台的授权模型如下图所示。在授权模型中采用了基于角色的授权方式,以满足权限管理的灵活性、可扩展性和可管理性的需求 块
实验四RSA加解密算法的实现
实验四 RSA加解密算法的实现 一.实验目的 1、对算法描述可进行充分理解,精确理解算法的各个步骤。 2、完成RSA软件算法的详细设计。 3、用C++完成算法的设计模块。 4、编制测试代码。 二.实验内容 1.实验原理及基本技术路线图(方框原理图) 加密过程: 第一步,用户首先输入两个素数p和q,并求出 n = p*q,然后再求出n的欧拉函数值phi。 第二步,在[e,phi]中选出一个与phi互素的整数e,并根据e*d ≡1(mod phi),求出e的乘法逆元。至此我们已经得到了公开密钥{e,n}和秘密密钥{d,n}。 第三步,让用户输入要进行加密的小于n一组正整数(个数不超过MAXLENGTH=500),输入以-1为结束标志,实际个数存入size中,正整数以clear[MAXLENGTH]保存。 第四步,对第三步所得的明文clear[MAXLENGTH]进行加密。遍历clear[size],对每一个整数用以下算法进行加密,并将加密后的密文保存在Ciphertext[MAXLENGTH]中。 注意:此处不能用m2[j] = clear[j] ^ e整数的幂,因为当e和clear[j]较大时,会发生溢出,至使出现无法预料的结果。 第五步,输出加密后的密文。 解密过程: 第一步,根据在以上算法中求出的解密密钥[d,phi],对加密后的密文Ciphertext[MAXLENGTH]进行解密,结果保存在DecryptionText[MAXLENGTH]中,算法如下: 第二步,输出对加密前的明文和加密并解密后的密文进行比较,判断两个数组是否一致,从而得知算法是否正确。
2.所用仪器、材料(设备名称、型号、规格等) 计算机一台、vc6.0 3.实验方法、步骤 #include
统一身份认证权限管理系统
` 统一身份认证权限管理系统 使用说明
目录 第1章统一身份认证权限管理系统 (3) 1.1 软件开发现状分析 (3) 1.2 功能定位、建设目标 (3) 1.3 系统优点 (4) 1.4 系统架构大局观 (4) 1.5物理结构图 (5) 1.6逻辑结构图 (5) 1.7 系统运行环境配置 (6) 第2章登录后台管理系统 (10) 2.1 请用"登录"不要"登陆" (10) 2.2 系统登录 (10) 第3章用户(账户)管理 (11) 3.1 申请用户(账户) (12) 3.2 用户(账户)审核 (14) 3.3 用户(账户)管理 (15) 3.4 分布式管理 (18) 第4章组织机构(部门)管理 (25) 4.1 大型业务系统 (26) 4.2 中小型业务系统 (26) 4.3 微型的业务系统 (27) 4.4 外部组织机构 (28) 第5章角色(用户组)管理 (29) 第6章职员(员工)管理 (32) 6.1 职员(员工)管理 (32) 6.2 职员(员工)的排序顺序 (32) 6.3 职员(员工)与用户(账户)的关系 (33) 6.4 职员(员工)导出数据 (34) 6.5 职员(员工)离职处理 (35) 第7章部通讯录 (37) 7.1 我的联系方式 (37) 7.2 部通讯录 (38) 第8章即时通讯 (39) 8.1 发送消息 (39) 8.2 即时通讯 (41) 第9章数据字典(选项)管理 (1) 9.1 数据字典(选项)管理 (1) 9.2 数据字典(选项)明细管理 (3) 第10章系统日志管理 (4) 10.1 用户(账户)访问情况 (4) 10.2 按用户(账户)查询 (5) 10.3 按模块(菜单)查询 (6) 10.4 按日期查询 (7) 第11章模块(菜单)管理 (1) 第12章操作权限项管理 (1) 第13章用户权限管理 (4) 第14章序号(流水号)管理 (5) 第15章系统异常情况记录 (7) 第16章修改密码 (1) 第17章重新登录 (1) 第18章退出系统 (3)
- 统一身份认证平台讲解-共38页知识分享
- PKI-身份认证和访问控制的实现原理
- 经典信息系统用户身份认证与权限管理办法.doc
- 信息系统用户身份认证与权限管理办法
- 统一身份认证权限管理系统
- 身份认证与权限管理
- 信息系统用户身份认证与权限管理规定
- 身份验证过程与授权过程
- 身份认证与访问控制技术
- 多应用身份认证与授权管理系统
- 信息系统用户身份认证与权限管理规定
- 第5章 身份认证与访问控制
- 统一身份认证权限管理系统
- 身份认证与访问控制
- 信息系统用户身份认证与权限管理规定
- 信息系统用户身份认证与权限管理办法(总4页)
- 统一身份认证及访问控制解决方案
- 信息系统用户身份认证与权限管理规定
- 信息系统用户身份认证与权限管理办法
- 统一身份认证平台讲解-共38页